Navigation:  Referenz der Menüpunkte >

LinkMail Processing

 Previous pageReturn to chapter overviewNext page

Im Menüpunkt Mail Processing wird das Regelwerk des SEPPmail Secure E-Mail Gateways konfiguriert.

Dieses Regelwerk ist mit einem Workflow System vergleichbar und stellt das zentrale Element des SEPPmail Secure E-Mail Gateways dar.

 

Um spezielle Verschlüsselungsmethoden zu einzelnen Zielen einzurichten, steht über Edit policy table... das Sub-Menü ENCRYPTION POLICY zur Verfügung. Über dieses können - gegebenenfalls mandantengetrennt - entsprechende Regeln definiert werden.

 

(neu in 13.0.0)

Weiterhin steht über Edit extended fields... das Sub-Menü Extended Fields zur Verfügung. Über dieses können zusätzliche Konfigurationsfelder definiert werden, über welche allgemeingültige, beziehungsweise Managed Domain oder Customer spezifische Kennzeichen erstellt werden können, welche später beispielsweise für das Auslösen spezieller Verhaltensweisen im SMTP Ruleset verwendet werden können.

 

LinkSektion SMTP ruleset

 

Zeigt die Erstelldaten des aktiven Rulesets an.

 

Parameter

Beschreibung

LinkVersion

Zeigt die Firmware Version, mit welcher das aktuelle Ruleset erstellt, beziehungsweise hochgeladen wurde.

LinkCreator

Zeigt den User, welcher das aktuelle Ruleset aktiviert hat

LinkDate

Zeigt das Aktivierungsdatum des aktuellen Rulesets.

LinkType

Zeigt, wie das Ruleset erstellt wurde.

 

LinkGenerator

Über Generate ruleset mit den unter Ruleset generator angezeigten, beziehungsweise vorgenommenen Einstellungen.

LinkUpload

Über Upload ruleset

LinkDetails

Über Show ruleset wird der Ruleset Code angezeigt

 

Generate ruleset generiert ein Ruleset mit den unter Ruleset generator angezeigten, beziehungsweise vorgenommenen Einstellungen.

 

hint

LinkHinweis:

Ist ein Ruleset vom Type „Upload“ aktiv, so wird Generate ruleset grau dargestellt.

Um den Type auf „Generator“ ändern zu können, muss im Ruleset Generator zweimal Save geklickt werden!

 

Upload ruleset... importiert einen, gegebenenfalls unter Zuhilfenahme der Referenz der Regelwerk-Anweisungen manuell geschriebenen Code aus der ausgewählten Datei.

Im Regelfall ist dies nicht zu empfehlen, da dieses Regelset dann auch unter Umständen bei Versionsupdates angepasst werden muss. Sinnvoller ist in der Regel, individuelle Anpassungen über Custom commands des Ruleset generator entsprechend im Code zu platzieren.

 

warning

LinkAchtung:

Das Ruleset muss nach der initialen Installation wenigstens einmal generiert werden.

 

 

LinkSektion Miscellaneous options

 

Sonstige Einstellungen.

 

Parameter

Beschreibung

LinkEnable LDAP server on port 388, 387 and 635 to distribute collected S/MIME certificates to internal users: DropDown

Ermöglicht den Zugriff auf die auf dem SEPPmail Secure E-Mail Gateway bekannten Verschlüsselungszertifikate externer Kommunikationspartner, welche unter X.509 Certificates gelistet sind.

 

hint

LinkHinweis:

Dies ermöglicht zum Beispiel Absendern, welche mittels Zusatzhardware am Client direkt verschlüsseln müssen, auf das eingesammelte Schlüsselmaterial des SEPPmail Secure E-Mail Gateways über ein LDAP-Adressbuch zuzugreifen.

 

LinkOff

Standardeinstellung.

 

LinkServer

Aktiviert die LDAP Key Server Funktion des SEPPmail Secure E-Mail Gateways, für die unter X.509 Certificates vorhandenen Zertifikate.

LinkCheckBoxInactive Send new OpenPGP public keys to users when a key is created with template DropDown

Diese Option ist im Standard inaktiv und mit der Auswahl „sendpgpkeys“ vorbelegt.

Wird für einen Benutzer auf dem SEPPmail Secure E-Mail Gateway ein OpenPGP Schlüsselpaar erzeugt - egal ob manuell oder automatisch (siehe Sektion Ruleset generator dieses Menüs unter Key generation die Option Issue local OpenPGP keys for users) - so wird durch Aktivieren dieser Option der öffentliche Schlüssel des automatisch generierten Schlüsselpaares unter Verwendung der ausgewählten E-Mail Vorlage (siehe auch LIST TEMPLATE) an den neu erzeugten Benutzer gesendet.

Dadurch wird dieser Benutzer in die Lage versetzt, seinen öffentliche Schlüssel selbst an Kommunikationspartner weiterzugeben. Diese werden dadurch wiederum in die Lage versetzt, OpenPGP verschlüsselt mit diesem Benutzer zu kommunizieren.

Die für den Versand verwendete E-Mail Vorlage kann bei Bedarf pro Managed Domain individuell übersteuert werden (siehe Send OpenPGP keys). Der Absender dieser E-Mail ist der globale Postmaster, falls kein individueller Postmaster hinterlegt wurde.

 

hint

LinkHinweis:

Das Verteilen des öffentlichen OpenPGP Schlüssels an Kommunikationspartner impliziert immer, dass die Prüfsumme (Hash) dieses Schlüssels vor dem Verwenden durch den Kommunikationspartner auf einem zweiten Kanal - zum Beispiel per Telefon - im Nachgang geprüft wird. Dies ist erforderlich, um die Integrität des Schlüssels sicherzustellen.

Aus diesem Grund wird empfohlen,das Bereitstellen von OpenPGP Schlüsseln über die GINA-Technologie zu realisieren (siehe CHANGE GINA SETTINGS FOR Extended settings Enable S/MIME certificate / OpenPGP key search and management in GINA).

 

Die vorgenommenen Änderungen werden über die Schaltfläche Save gespeichert.

 

 

LinkSektion Ruleset generator

 

Mit dem Ruleset generator wird quasi ein „Workflow System“ für eingehende und ausgehende E-Mails definiert.

 

warning

LinkAchtung:

Beim Einsatz von Frontend Servern (siehe Cluster Add this device as frontend server) muss jede Änderung im Ruleset generator durch erneutes Speichern am Frontend Server (Generate ruleset) bekannt gemacht werden.

 

Die in dieser Sektion vorhandenen Eingabefelder für Betreffzeilen Schlüsselwörter (text in subject) sind mit „regular expressions“ zu befüllen. Das heißt Sonderzeichen müssen mit einem backslash „\“ als solche gekennzeichnet werden. Ein Aneinanderreihen mehrerer Schlüsselwörter ist durch das Trennen mit dem pipe-Zeichen „|“ möglich.

Beispiel:

Soll als Betreffzeilen Schlüsselwörter <abc> verwendet werden so ist diese wie folgt einzugeben: \<abc\>

Soll sowohl das Betreffzeilen Schlüsselwörter <abc> als auch [def] verwendet werden so ist diese wie folgt einzugeben: \<abc\>|[def]
(siehe auch Reguläre Ausdrücke)

Groß-/Kleinschreibung wird bei der Eingabe des Schlüsselwortes in der Betreffzeile ignoriert.

 

Bei Verwenden des COM Add-In für MS Exchange / Outlook on premises im Betreffzeilen-Modus (siehe Registry Wert "subject-mod=1") ist darauf zu achten, dass bei Änderungen der Schlüsselwörter im SEPPmail Secure E-Mail Gateway, diese entweder als zusätzliche Werte hinzugefügt werden, oder die Werte im Add-In (siehe Registry Werte "s-sm...") an die Werte der Appliance angepasst werden müssen.

Wird das MS Outlook Cross-Platform-Add-In, beziehungsweise des COM Add-In für MS Exchange / Outlook on premises im X-Header-Modus (siehe Registry Wert "subject-mod=0") betrieben, so ist zu beachten, dass die durch den jeweiligen X-Header ausgelöste Funktion auch im Ruleset Generator aktiv ist.

 

hint

LinkHinweis:

Generell werden bei eingehenden E-Mails - also solche, die nicht von einer Managed domain stammen - alle hier definierten Schlüsselwörter entfernt.

Das heißt, von außen können weder Steuerbefehle an die Appliance übergeben werden, noch können von der Appliance durchgeführte kryptographische Aktionen (Entschlüsseln, Prüfen von Signaturen) vorgetäuscht werden.

 

warning

LinkAchtung:

Um auf der Appliance keine undefinierten Zustände zu erzeugen, ist das gleichzeitige Verwenden unterschiedlicher, sowie insbesondere entgegengesetzter Steuermerkmale (Schlüsselwörter, (X-)Header) in ausgehenden E-Mails unbedingt zu vermeiden!

Weiterhin können mit einem Schlüsselwort nicht zwei Aktionen gleichzeitig angesteuert werden.

 

Parameter

Beschreibung

LinkGeneral settings

LinkCheckBoxActive Do not touch mails with the following text in subject: 

Im Standard ist diese Option aktiv und hat das Schlüsselwort \[plain\] hinterlegt.

Wird das angegebene Schlüsselwort im Betreff einer ausgehenden E-Mail gefunden, so wird diese kryptographisch unbehandelt weitergeleitet. Das Ruleset wird nicht weiter durchlaufen.

Dies ergibt unter Umständen Sinn, wenn all diese Voraussetzungen gegeben sind:

Einstellung Always use S/MIME or OpenPGP if user keys are available aktiv

Absender weiß, dass der Empfänger temporär nur auf einem Mobilen Endgerät empfangen kann

Inhalt der E-Mail ist nicht vertraulich

Add disclaimer to all outgoing and internal emails

(in 12.0 nach Edit managed domain "X" Settings Disclaimer Initial disclaimer verschoben)

Also add disclaimer to replies (in-reply-to header set)

(in 12.0 nach Edit managed domain "X" Settings Disclaimer Reply disclaimer verschoben)

LinkCheckBoxActive Reprocess mails sent to

reprocess@

decrypt.reprocess

Im Standard ist diese Option aktiv.

Ermöglicht einem Empfänger eine verschlüsselte E-Mail aus seinem Postfach erneut an das SEPPmail Secure E-Mail Gateway zum Entschlüsseln zu senden. Hierfür ist die verschlüsselte E-Mail als Anhang in eine neue (Träger-)E-Mail zu packen und an die Adresse „reprocess@decrypt.reprocess“ zu senden. Auf dem SEPPmail Secure E-Mail Gateway wird die Träger-E-Mail verworfen und die darin befindliche, ursprünglich verschlüsselte Nachricht erneut verarbeitet und zugestellt. Dies setzt natürlich voraus, dass der für das Entschlüsseln benötigte private Schlüssel dem SEPPmail Secure E-Mail Gateway bekannt ist.

Anwendungsbeispiele könnten sein:

Direktes Weiterleiten verschlüsselter E-Mails an den internen E-Mail Server bei Ausfall der Appliance

Migration von lokalem Schlüsselmaterial auf den Clients hin zum SEPPmail Secure E-Mail Gateway bei gleichzeitigen zurückbleiben von verschlüsselten E-Mails in den Postfächern der Empfänger

Ebenso ermöglicht dieser Befehl OpenPGP verschlüsselte Dateien aus dem Datei-System durch Senden als E-Mail Anlage an diese Adresse zu entschlüsseln.

LinkCheckBoxInactive Place new tags at the beginning of the subject

Diese Option ist im Standard inaktiv.

Durch das Aktivieren dieses Punktes werden von der Appliance gesetzte Kennzeichen (siehe zum Beispiel Add this text to message subject after decryption oder Add this text to message subject if S/MIME signature check succeeds:) anstatt am Ende des Betreffs an den Anfang gesetzt.

LinkCheckBoxActive Log message metadata

Im Standard ist diese Option aktiv.

Aktiviert das Anzeigen des Betreffs in Logs. Dies erleichtert zwar oft die Fehleranalyse, ist aber gelegentlich aus revisionstechnischen Gründen untersagt.

LinkUser creation

 

warning

LinkAchtung:

Die hier beschriebenen Verhaltensweisen für das automatische Generieren von Usern (siehe auch Users) gelten nur dann zu 100%, wenn diese nicht durch Custom commands übersteuert werden.

Für das Generieren von neuen Benutzern wird im Standard die SMTP-Adresse des FROM-Headers herangezogen.

LinkRadioButtonInactive Do not create accounts (also disables custom commands for user creation)

Benutzer müssen auf der Appliance manuell - gegebenenfalls auch durch Bulk-Imports (siehe Administration Bulk Import Import users (CSV), Import X.509 key    s and certficates, beziehungsweise Import OpenPGP key pairs) - angelegt werden.

 

warning

LinkAchtung:

Wird diese Einstellung gewählt, so ist sicherzustellen, dass kein Absender, welcher nicht bereits im SEPPmail Secure E-Mail Gateway als Benutzer angelegt ist, Merkmale  (Schlüsselwort, Add-In, Header) für das kryptographische Behandeln von E-Mails verwendet.

In dieser Konstellation würde die Anforderung ignoriert und somit die E-Mail ohne die gewünschte kryptographische Aktion versendet.

Dieses Verhalten kann bei Bedarf durch Custom Commands dahingehend geändert werden, dass E-Mails in dieser Konstellation abgewiesen werden (siehe Bounce von E-Mails nicht authentifizierter Benutzer).

LinkRadioButtonActive Create accounts for new users if user tries to sign / encrypt

Standardeinstellung.

Absender, welche über ein entsprechendes Merkmal eine E-Mail als zu verschlüsselnd oder zu signierend markieren und noch nicht als Benutzer (siehe Users) auf dem SEPPmail Secure E-Mail Gateway vorhanden sind, werden automatisch angelegt.

Bei Verwenden dieser Option ist darauf zu achten, dass genügend freie Benutzerlizenzen vorhanden sind (siehe Home Licenses Encryption/Signature licenses).

Bei Überschreiten des Lizenzkontingents werden E-Mails mit dem Hinweis „license violation“ abgewiesen (bounced) und eine Watchdog-Meldung erzeugt.

 

hint

LinkHinweis:

Kommen Custom Commands zum Einsatz, so werden diese in der Reihenfolge Custom Commands for outgoing e-mails BEFORE encryption, Custom commands for user creation abgearbeitet.

LinkRadioButtonInactive Create accounts for all users

Jeder Absender, der über das SEPPmail Secure E-Mail Gateway eine E-Mail sendet, wird als Benutzer angelegt, sofern noch nicht vorhanden. Ob dabei Verschlüsseln/Signieren angefordert wurde oder nicht, spielt bei dieser Einstellung keine Rolle.

Diese Einstellung ist geeignet, um zum Beispiel generell alle E-Mails aus einem Unternehmen zu signieren. Natürlich muss dann auch das Versorgen der hier angelegten Benutzer mit entsprechendem Schlüsselmaterial gewährleistet sein (siehe auch Key Generation).

Ein weiterer Anwendungsfall wäre, wenn das SEPPmail Secure E-Mail Gateway nicht direkt im E-Mail Strom steht, sondern bereits über eine vorgelagerte Komponente entschieden wird, welche E-Mails kryptographisch zu behandeln sind und nur diese an das SEPPmail Secure E-Mail Gateway übergeben werden.

 

hint

LinkHinweis:

Kommen Custom Commands zum Einsatz, so werden diese in der Reihenfolge Custom commands for user creation, Custom Commands for outgoing e-mails BEFORE encryption abgearbeitet.

LinkProcessing of outgoing mails that are not from a managed domain (based on FROM-Header)

 

hint

LinkHinweis:

Hierbei handelt es sich in der Regel um Kalendereinträge, welche von externen Kommunikationspartnern empfangen und vom internen Postfach an einen anderen externen Kommunikationspartner weitergeleitet werden.

Nachdem Outlook/Exchange mit verschlüsselten Kalendereinträgen nicht umgehen kann, sollten Kalendereinträge generell nicht verschlüsselt werden. Dies impliziert jedoch auch, dass in Kalendereinträgen keine vertraulichen Daten übermittelt werden sollten.

LinkRadioButtonActive Process normally

Standardeinstellung.

Mit dieser Option wird kein Unterschied zwischen ausgehenden E-Mails von Fremd- oder Managed domains (siehe Mail System Managed domain) gemacht. Das heißt, sollte eine E-Mail im FROM-Header eine Adresse enthalten, welche nicht von einer Managed domain stammt, so werden - sofern eine Option zur automatischen Benutzeranlage (siehe oben) gewählt ist - gegebenenfalls auch für Absender fremder Adressen User generiert.

 

hint

LinkHinweis:

Diese Einstellung kann unter Umständen sinnvoll sein, um eine Firmenrichtlinie strikt durchzusetzen. So werden dann auch E-Mails, welche zum Beispiel durch eine automatische Weiterleitungsregel gesendet werden und deshalb den ursprünglichen (Fremd-)Absender im FROM-Header beinhalten, gegebenenfalls zwingend verschlüsselt.

 

warning

LinkAchtung:

Folgende Punkte sind bei dieser Einstellung zu beachten:

1.Unter Umständen wird durch diese Einstellung versucht, ein Zertifikat der lokalen CA beziehungsweise ein OpenPGP Schlüssel für den (Fremd-)User zu erstellen.
Der Bezug von Zertifikaten für Fremd-User via MPKI wird unterbunden .

2.Wird weiterhin mangels Schlüsselmaterials des Empfängers GINA als Verschlüsselungstechnologie verwendet, wird das Initialpasswort - unter Umständen sogar unverschlüsselt - nach außen an den (Fremd-)User gesendet.
Dies bedeutet auch, dass - je nach Einstellung - beim Passwort-Rücksetzungsprozess gegebenenfalls auch der externe (Fremd-)User adressiert würde.

3.In mandantenfähigen Systemen kann der generierte Benutzer nicht automatisch einem Mandanten zugeordnet werden, da die (Fremd-)E-Mail Domäne nicht zugeordnet sein kann.
Dies bedeutet auch, dass Log-Einträge solcher E-Mails nur durch Mitglieder der Gruppe (Groups) admin zu sehen sind, nicht jedoch vom Mandanten Admin (siehe Customers Customer Management Customer administrators).

LinkRadioButtonInactive Immediately deliver unchanged

Durch diese Option werden E-Mails von Fremd-Absendern immer unverändert, also „plain“ (vergleiche auch General settings Do not touch mails with the following text in subject:) versendet.

 

warning

LinkAchtung:

Durch diese Einstellung werden unter Umständen ursprünglich verschlüsselte E-Mails im Anschluss im Klartext in das Internet gesendet!

In mandantenfähigen Systemen kann der Log-Einträge solcher (Fremd-)E-Mails nicht automatisch einem Mandanten zugeordnet werden, da die (Fremd-)E-Mail Domäne nicht zugeordnet sein kann.
Dies bedeutet, dass Log-Einträge solcher E-Mails nur durch Mitglieder der Gruppe (Groups) admin zu sehen sind, nicht jedoch vom Mandanten Admin (siehe Customers Customer Management Customer administrators).

LinkRadioButtonInactive Reject

Durch diese Option werden E-Mails von Fremd-Absendern immer abgewiesen.

LinkKey generation

 

hint

LinkHinweis:

Beim automatischen Generieren eines neuen Users wird das eingestellte Schlüsselmaterial generiert. Dieses wird dann über den - im nachfolgenden Hinweis beschriebenen - Prozess aktuell gehalten.

 

 

hint

LinkHinweis:

Ein automatisches, nächtliches Versorgen aller Users (unabhängig von der User creation Einstellung) mit Schlüsselmaterial, beziehungsweise das vorzeitige Verlängern von in Kürze ablaufendem Schlüsselmaterial, kann jeweils für lokale S/MIME und OpenPGP Schlüssel in den CA-Einstellungen (Settings), beziehungsweise für externe Zertifikate gegebenenfalls in den jeweiligen MPKI-Einstellungen (Settings) vorgenommen werden (siehe Option Automatically create certificates for active users without certificates, beziehungsweise Automatically renew expiring certificates if validity days left less than). Dieses automatische Verlängern funktioniert unabhängig von den hier eingestellten Optionen.

 

hint

LinkHinweis:

Steht für einen User zur Laufzeit kein gültiges Schlüsselmaterial* zur Verfügung, würde jeweils bei aktiver Einstellungen auch zur Laufzeit beim Versand einer E-Mail das entsprechende Schlüsselmaterial erzeugt werden.

Da für diesen Prozess die Funktion der User creation verwendet wird, werden eventuell vorhandene Custom commands for user creation verarbeitet.

Dabei wird die E-Mail im Standard zunächst temporär abgewiesen (420 An encryption key for your account '$senderemail' will be available shortly also beispielsweise 420 An encryption key for your account 'max.mustermann@meinefirma.tld' will be available shortly). Mit dem nächsten Zustellungsversuch des abgebenden Systems, sollte dann das benötigte Schlüsselmaterial bereitstehen, sodass die E-Mail wie erwartet verarbeitet werden kann.

 

*

Zum Beispiel, weil der User manuell angelegt oder aufgrund längerer Abwesenheit über den automatischen nächtlichen Prozess nicht versorgt wurde.

Wurde das letzte vorhandene Zertifikat revoziert, so wird kein neues bezogen. In diesem Fall ist davon auszugehen, dass ein spezieller Grund für das manuelle revozieren des Zertifikats, ohne ein neues zu generieren vorlag

LinkCheckBoxInactive Issue local OpenPGP keys for users

Diese Option ist im Standard inaktiv.

Generiert automatisch ein OpenPGP Schlüsselpaar.

LinkCheckBoxInactive Issue local

S/MIME certificates for users

Diese Option ist im Standard inaktiv.

Generiert automatisch ein S/MIME-Schlüsselpaar. Der öffentliche Schlüssel wird von der lokalen CA signiert (Self-Signed-Certificate).

LinkCheckBoxInactive Issue <MPKI> S/MIME certificates for users

Diese Option ist im Standard inaktiv.

Generiert automatisch ein S/MIME-Schlüsselpaar. Der öffentliche Schlüssel wird von der unter MPKI eingestellten CA signiert.

 

hint

LinkHinweis:

Diese Option erscheint nur dann, wenn unter MPKI auch eine CA ausgewählt wurde.

LinkEncryption

 

warning

LinkAchtung:

Bei S/MIME verschlüsselten E-Mails sind als „Content-Type“ des Headers jeweils zwei Ausdrücke möglich, nämlich

a.„application/x-pkcs7-mime“
Dieser Ausdruck fand bereits vor Entstehen des Standards weite Verbreitung und ist deshalb weiterhin üblich (siehe auch RFC 2311).

b.„application/pkcs7-mime“
Dieser Ausdruck entspricht RFC 5751 und ist ebenso üblich.
 

Das SEPPmail Secure E-Mail Gateway verarbeitet bei eingehenden E-Mails beide Ausdrücke gleichermaßen. Bei ausgehenden E-Mails wird die Variante a. verwendet.

 

Bei empfangenden Drittsystemen ist darauf zu achten, dass diese ebenfalls beide Varianten gleichermaßen verarbeiten, auch um Inkompatibilitäten von anderer Seite zu vermeiden.

 

hint

LinkHinweis:

Für das Ver-, beziehungsweise Entschlüsseln werden ausschließlich die Empfänger aus dem Envelope herangezogen, da die Header manipuliert werden können.

LinkIncoming e-mails

LinkCheckBoxActive Add this text to message subject after decryption

Im Standard ist diese Option aktiv und hat das Schlüsselwort \[secure\] hinterlegt.

Eingehende, durch das SEPPmail Secure E-Mail Gateway entschlüsselte E-Mails werden im Betreff mit dem hinterlegten Schlüsselwort gekennzeichnet.

 

LinkCheckBoxInactive Set confidential flag after decryption:

Diese Option ist im Standard inaktiv.

Bei eingehenden, durch das SEPPmail Secure E-Mail Gateway entschlüsselten E-Mails wird der Header „Sensitivity“ mit dem Wert „Company-Confidential“ gesetzt.

LinkCheckBoxActive Reject mails if

S/MIME decryption fails

Im Standard ist diese Option aktiv.

Eingehende, verschlüsselte E-Mails werden abgewiesen (bounced), sofern sie durch das SEPPmail Secure E-Mail Gateway nicht entschlüsselt werden konnten.

 

hint

LinkHinweis:

Da das SEPPmail Secure E-Mail Gateway eine E-Mail einem eventuell vorgelagerten System erst dann als angenommen meldet, wenn die E-Mail ausgeliefert werden kann, ist diese Funktion auch zum Beispiel nach einem externen SPAM-Filter problemlos verfügbar.

 

hint

LinkHinweis:

Durch Aktivieren dieser Aktion wird auch eine eventuell teilweise Ende-zu-Ende Verschlüsselung (zum Beispiel mittels Smart-Card) unterbunden.
 

LinkOutgoing e-mails

 

hint

LinkHinweis:

Werden ausgehend bereits S/MIME verschlüsselte E-Mail an das SEPPmail Secure E-Mail Gateway gesendet, so werden diese unbehandelt weitergeleitet, da bei S/MIME kein doppeltes verschlüsseln möglich ist.

LinkCheckBoxActive Always encrypt mails with the following text in subject: 

Im Standard ist diese Option aktiv und hat das Schlüsselwort \[confidential\] hinterlegt.

Wird das angegebene Schlüsselwort im Betreff einer ausgehenden E-Mail gefunden, so wird diese verschlüsselt.

 

hint

LinkHinweis:

Wird an dieser Stelle das Schlüsselwort aus Incoming e-mails Add this text to message subject after decryption verwendet, beziehungsweise zusätzlich hinzugefügt - also \[confidential\]|\[secure\] - so würden alle Antworten auf ursprünglich verschlüsselt empfangene E-Mails zwangsweise verschlüsselt.

Da somit das Verschlüsseln von Antworten auch auf ursprünglich domänenverschlüsselte E-Mails angefordert wird, ist hier Vorsicht im Zusammenhang mit dem automatischen Generieren von Benutzern (siehe UserCreation Create accounts for new users if user tries to sign / encrypt) geboten!

 

warning

LinkAchtung:

Das, beziehungsweise die hier verwendeten Schlüsselwörter müssen sich von denen für die Signatur (siehe Signing Outgoing e-mails „S/MIME sign outgoing mails with the following text in subject:“) unterscheiden.

LinkCheckBoxActive Always encrypt mails with Outlook "confidential" flag set

Im Standard ist diese Option aktiv.

Wird in einer ausgehenden E-Mail der Header „Sensitivity“ mit dem Wert „Company-Confidential“ gefunden, so wird die E-Mail verschlüsselt.

LinkCheckBoxActive Always use GINA technology for mails with the following text in subject: 

Im Standard ist diese Option aktiv und hat das Schlüsselwort \[priv\] hinterlegt.

Wird das angegebene Schlüsselwort im Betreff einer ausgehenden E-Mail gefunden, so wird das Verschlüsseln mittels GINA-Technologie erzwungen.

 

hint

LinkHinweis:

Wird im E-Mail Client zusätzlich zum Erzwingen der GINA-Technologie eine Lesebestätigung (Disposition-Notification-To Header) angefordert, so wird über diese Technologie eine verlässliche Lesebestätigung angefordert. Das heißt der Empfänger kann das Auslösen dieser Lesebestätigung - anders als zum Beispiel in MS-Outlook - nicht unterdrücken (entspricht einem Einschreiben mit Rückschein).

LinkCheckBoxInactive Always use GINA technology for mails with Outlook "private" flag set

Diese Option ist im Standard inaktiv.

Wird in einer ausgehenden E-Mail der Header „Sensitivity“ mit dem Wert „Private“ gefunden, so wird das Verschlüsseln mittels GINA-Technologie erzwungen.

 

hint

LinkHinweis:

Diese Option kann zu Problemen führen, wenn als privat markierte Kalendereinträge versendet werden, da diese dann automatisch GINA-verschlüsselt würden.
 

LinkCheckBoxInactive Create GINA users with empty password if the following text is in the subject: 

Diese Option ist im Standard inaktiv und hat das Schlüsselwort \[emptypw\] hinterlegt.

Wird das angegebene Schlüsselwort im Betreff einer ausgehenden E-Mail gefunden,

so wird bei initialem Verwenden der GINA-Technologie kein Initial-Password benötigt.

Dadurch wird im Einzelfall die GINA-Variante 2a (siehe Unterschiedliche Registrierungsarten) aktiviert.

LinkCheckBoxActive Always use

S/MIME or OpenPGP if user keys are available

Im Standard ist diese Option aktiv.

Ausgehende E-Mails werden immer verschlüsselt, sofern dem SEPPmail Secure E-Mail Gateway ein öffentlicher Schlüssel - egal ob S/MIME (siehe X.509 Certificates) oder OpenPGP (siehe OpenPGP Public Keys) - des Kommunikationspartners (Empfängers) vorliegt.

 

hint

LinkHinweis:

Bei aktiver Option gilt zu beachten, dass der Versender der E-Mail auf dem SEPPmail Secure E-Mail Gateway jeweils als Benutzer angelegt sein oder werden muss, wenn er an einen entsprechenden Kommunikationspartner sendet.

Die hieraus entstehende Wechselwirkung bei eingestelltem, automatischen Generieren von Benutzern (siehe UserCreation Create accounts for new users if user tries to sign / encrypt) ist zu beachten!
 

LinkCheckBoxInactive Exclude calendar entries and RTF mails (winmail.dat)

Diese Option ist im Standard inaktiv.

Kalendereinträge sowie RTF formatierte E-Mails werden vom automatischen Verschlüsseln der übergeordneten Option ausgenommen.

 

hint

LinkHinweis:

Outlook / Exchange mit lokaler Verschlüsselung kann nicht mit verschlüsselten Kalendereinträgen umgehen. Somit handelt es sich hierbei um eine Kompatibilitätseinstellung für eben diese Systeme.

Ist die zu verarbeitende E-Mail RTF-formatiert, so würde im entsprechenden Log-Eintrag (siehe Logs) die Meldung „Calendar entry could not be found, but detected RTF-formatted MIME parts“ erscheinen.

LinkCheckBoxInactive Always use GINA encryption if account exists and no S/MIME or OpenPGP key is known

Diese Option ist im Standard inaktiv.

Ausgehende E-Mails werden immer mittels GINA-Technologie verschlüsselt, sofern dem SEPPmail Secure E-Mail Gateway kein öffentlicher Schlüssel - weder S/MIME noch OpenPGP - bekannt ist, jedoch ein GINA Account für den Kommunikationspartner (Empfänger) vorliegt.

LinkCheckBoxInactive Do not encrypt outgoing mails with the following text in subject:

Diese Option ist im Standard inaktiv und hat das Schlüsselwort \[noenc\] hinterlegt.

Wird das angegebene Schlüsselwort im Betreff einer ausgehenden E-Mail gefunden, so wird ein eventuelles Verschlüsseln in jedem Fall unterdrückt. Andere kryptographische Aktionen (Signieren) sind davon nicht betroffen.

LinkCheckBoxInactive Consider internally routed mails as encrypted

Diese Option ist im Standard inaktiv.

E-Mails, welche von einer Managed domains zu einer Anderen gesendet werden. werden als „sicher“ markiert (siehe auch Incoming e-mails Add this text to message subject after decryption).

 

hint

LinkHinweis:

Dies ist insbesondere auf mandantenfähigen Systemen von Interesse, da das Standardverhalten bei der Kommunikation zwischen den Mandanten - und somit Managed domains - systembedingt anders ist, als bei der Kommunikation von und zu externen Kommunikationspartnern. Wird beispielsweise eine E-Mail vom Absender eines Mandanten an einen anderen Mandanten auf demselben SEPPmail Secure E-Mail Gateway als zu verschlüsselnd markiert, so ergäbe es keinen Sinn diese zu verschlüsseln und anschließend sofort wieder zu entschlüsseln. Nachdem jeder Mandant über einen sicheren Kanal (TLS) an die Appliance angebunden ist, spricht in der Regel nichts dagegen, E-Mails zwischen Mandanten generell als sicher zu markieren, da das Verfahren der Domänenverschlüsselung ähnelt.

 

warning

LinkAchtung:

Vor dem Aktivieren dieser Option ist unbedingt sicher zu stellen – gegebenenfalls zusätzlich durch vorgeschaltete Schutzinstanzen –, dass weder aus dem Internet, noch von Managed domains anderer, auf dem SEPPmail Secure E-Mail Gateway verwalteten Mandanten, E-Mails mit gefälschtem Absender auf das SEPPmail Secure E-Mail Gateway gelangen (siehe gegebenenfalls auch Mail System Managed domains ADD/EDIT MANAGED DOMAIN Settings Allowed outgoing sending servers).

LinkCheckBoxInactive Consider "forced TLS" as encrypted

Diese Option ist im Standard inaktiv.

TLS Verschlüsselung wird für Zieldomänen, welche unter Mail System TLS settings mit einer höheren Sicherheitseinstellung als „may“ eingetragen wurden, als gültige E-Mail Verschlüsselungsoption anerkannt.

Somit ändert sich bei diesen Zieldomänen die Verschlüsselungshierarchie wie folgt (siehe Punkt 5.):

1.Geprüftes S/MIME Zertifikat des Empfängers

2.Geprüfter öffentlicher OpenPGP Schlüssel des Empfängers

3.Geprüftes S/MIME Domänen Zertifikat der Empfänger Domäne

4.Geprüfte öffentlicher OpenPGP Domänen Schlüssel der Empfänger Domäne

5.TLS-Verschlüsselung höher „may“ - wobei diese auch zusätzlich verwendet wird, wenn bereits eines der höher priorisierten Verfahren zum Einsatz kam.

Sollte keines der vorangegangenen (Standard-)Verfahren verfügbar sein

6.GINA mit hinterlegtem Empfängerpasswort

7.GINA mit Initialpasswort

 

warning

LinkAchtung:

Das Aktivieren dieser Option setzt voraus, dass das SEPPmail Secure E-Mail Gateway den Übergang zum Internet bildet, also die Ziel-E-Mail Domänen direkt adressiert.

Weiterhin ist zu Beachten, dass TLS eine Leitungsverschlüsselung und keine Inhaltsverschlüsselung darstellt.

LinkCheckBoxInactive Prefer RSA-OAEP for

S/MIME encryption

Diese Option ist im Standard inaktiv.

Verwenden von OAEP global als Padding-Verfahren für das Verschlüsseln via S/MIME (siehe gegebenenfalls auch https://de.wikipedia.org/wiki/Padding_(Informatik)) und https://de.wikipedia.org/wiki/Optimal_Asymmetric_Encryption_Padding). OAEP funktioniert abwärtskompatibel.

LinkCheckBoxInactive Use default cipher for

S/MIME encryption: DropDown

Diese Option ist im Standard inaktiv.

Bei Aktivieren kann über dieses Auswahl-Menü der Algorithmus des bei S/MIME Verschlüsselung verwendeten Session-Keys gewählt werden.

Bleibt diese Einstellung deaktiviert, so wird Triple-DES verwendet.

 

hint

LinkHinweis:

Für OpenPGP wird automatisch die maximal mögliche Schlüssellänge aus dem öffentlichen Schlüssel des Kommunikationspartners ermittelt und verwendet.

LinkTriple DES

Niedrigster Sicherheitsstandard aber höchste Kompatibilität (zum Beispiel auch zu Outlook 2003 und früher,Secure-E-Mail-Gateway Herstellern,welche nur diesen Cipher bei Domänenverschlüsselung unterstützen oder vom Empfänger eingesetzte Hardware (zum Beispiel Kartenleser)).

LinkAES-128

Wird zum Teil noch gefordert (zum Beispiel EDIFACT)

LinkAES-192

Wird zum Teil noch gefordert (zum Beispiel EDIFACT)

LinkAES-256

Standardeinstellung.

Aktueller Sicherheitsstandard. Sollte von allen gängigen E-Mail Clients in deren jeweils aktuellen Version unterstützt werden.

LinkOpenPGP method for recipient encryption DropDown

Gibt die Methode für die OpenPGP Verschlüsselung auf Basis personenbezogener Schlüssel (siehe auch OpenPGP Public Keys Local OpenPGP Keys) an.

 

hint

LinkHinweis:

Für das Entschlüsseln - also für eingehende E-Mails - unterstützt das SEPPmail Secure E-Mail Gateway generell beide OpenPGP Verschlüsselungsvarianten (Inline und MIME).

LinkInline PGP

Bei Inline PGP wird jeder Anhang einer E-Mail - wobei auch der Mail-Body ein Anhang ist - separat verschlüsselt.

 

Vorteil:

Inline PGP wird von den meisten Open Source Produkten unterstützt und erhöht somit die Kompatibilität bei den Kommunikationspartnern.

 

Nachteil:

Formatierungsprobleme, zum Beispiel werden bei Inline-Tabellen zwar die Inhalte der Tabelle angezeigt, jedoch nicht die Tabelle selbst.

 

warning

LinkAchtung:

Aufgrund eventuell einhergehender Sicherheitsprobleme (Stichwort: EFAIL) sollte das Inline-Verfahren nicht mehr benutzt werden.

LinkPGP/MIME

Standardeinstellung.

Bei PGP/MIME wird die gesamte E-Mail verschlüsselt (wie auch bei S/MIME).

 

Vorteil:

Keine Formatierungsprobleme.

 

Nachteil:

Eventuell Kompatibilitätsprobleme und somit Nichtlesbarkeit der E-Mail beim Kommunikationspartner

LinkOpenPGP method for domain encryption DropDown

Gibt die Methode für die OpenPGP Verschlüsselung auf Basis von Domänen Schlüsseln (siehe auch OpenPGP domain keys Manual OpenPGP Domain Keys) an.

 

hint

LinkHinweis:

Für das Entschlüsseln - also für eingehende E-Mails - unterstützt das SEPPmail Secure E-Mail Gateway generell beide OpenPGP Verschlüsselungsvarianten (Inline und MIME).

LinkInline PGP

siehe OpenPGP method for recipient encryption, Inline PGP

LinkPGP/MIME

siehe OpenPGP method for recipient encryption, PGP/MIME

LinkSigning

 

warning

LinkAchtung:

Bei S/MIME signierten E-Mails sind als „Content-Type“ des Headers jeweils zwei Ausdrücke möglich, nämlich

a.„application/x-pkcs7-signature“
Dieser Ausdruck fand bereits vor Entstehen des Standards weite Verbreitung und ist deshalb weiterhin üblich (siehe auch RFC 2311).

b.„application/pkcs7-signature“
Dieser Ausdruck entspricht RFC 5751 und ist ebenso üblich.
 

Das SEPPmail Secure E-Mail Gateway verarbeitet bei eingehenden E-Mails beide Ausdrücke gleichermaßen. Bei ausgehenden E-Mails wird die Variante a. verwendet.

 

Bei empfangenden Drittsystemen ist darauf zu achten, dass diese ebenfalls beide Varianten gleichermaßen verarbeiten, auch um Inkompatibilitäten von anderer Seite zu vermeiden.

 

hint

LinkHinweis:

Bei der S/MIME Signatur wird eine Prüfsumme über den E-Mail Body sowie die MIME Header gebildet. Das heißt, sofern Änderungen an diesen Teilen der E-Mail vorgenommen werden, wird das Zielsystem die Signatur als ungültig einstufen.

Ausgenommen von der Prüfsumme sind hingegen die E-Mail Header, wie zum Beispiel from, sender, reply-to, to, cc, subject sowie beliebige X-Header.

LinkIncoming e-mails

 

hint

LinkHinweis:

Die in den S/MIME Signaturen enthaltenen Zertifikate werden eingesammelt und unter X.509 Certificates für das Verschlüsseln ausgehender E-Mails bereitgestellt, sofern diese

a)als gültig eingestuft wurden.
Das heißt sie

stammen von einer als vertrauenswürdig eingestuften CA (siehe X.509 Root Certificates)

haben das Ablaufdatum noch nicht überschritten

wurden nicht für ungültig erklärt (siehe System OCSP / CRL check settings)

verwenden keinen ungültigen Signatur Algorithmus (siehe auch X.509 Certificates Advanced Settings Policies Refuse import of certificates with a signature algorithm using sha1 or lower)
 

b)die X.509 Zertifikatserweiterung „Schlüsselverwendung (Key Usage)“ mit dem Wert „Schlüsselverschlüsselung: (key encipherment)“ aufweisen.

 

hint

LinkHinweis:

Das Prüfen der S/MIME Signatur einer eingehenden E-Mail wird anhand des Headers durchgeführt. Das entspricht dem Verhalten von „normalen“ E-Mail Clients, da bei diesen der Envelope einer E-Mail nicht mehr vorhanden ist.

LinkCheckBoxActive Add this text to message subject if

S/MIME signature check succeeds:

Im Standard ist diese Option aktiv und hat das Schlüsselwort \[signed\sOK\] hinterlegt.

Eingehende, S/MIME signierte E-Mails, deren Signaturen durch das SEPPmail Secure E-Mail Gateway geprüft und als in Ordnung befunden wurden, werden mit dem angegebenen Schlüsselwort im Betreff gekennzeichnet.

 

hint

LinkHinweis:

Damit eine S/MIME E-Mail Signatur als „gültig“ befunden wird,

a)darf diese E-Mail auf dem Weg vom Absender bis zum Empfang und Prüfung durch das SEPPmail Secure E-Mail Gateway nicht verändert worden sein.

b)muss das Signatur-Zertifikat des Absenders gültig sein,

c)muss für das Verifizieren des Absenders die E-Mail Adresse des FROM-, beziehungsweise gegebenenfalls SENDER-Headers mit dem Antragsteller (E=), beziehungsweise einem Alternativen Antragsteller (RFC822-Name=)  des Zertifikats übereinstimmen.

 

hint

LinkHinweis:

Das SEPPmail Secure E-Mail Gateway erkennt sowohl Klartext- als auch Opaque-Signaturen und kann diese verifizieren.

Da E-Mail-Clients jedoch häufig beim Erkennen von Opaque-Signaturen Probleme haben, empfiehlt sich bei häufigem Empfang von E-mails, welche mit diesem Verfahren signiert wurden, die Signaturen nach erfolgreichem Prüfen zu entfernen (siehe „Remove signature if S/MIME signature check succeeds“).

LinkCheckBoxInactive Remove signature if

S/MIME signature check succeeds

Diese Option ist im Standard inaktiv.

Entfernt die S/MIME E-Mail Signatur nach erfolgreicher Prüfung.

 

warning

LinkAchtung:

Verwendet der Kommunikationspartner beim Signieren RSA-PSS (siehe auch Option Prefer RSA-PSS for S/MIME signatures bei Outgoing e-mails), so wird ein nachfolgender E-Mail Client eine zerstörte Signatur anzeigen, sofern er nicht damit umgehen kann.
Um dies zu vermeiden, empfiehlt es sich, die Signatur nach erfolgreichem Prüfen abzuschneiden.

 

hint

LinkHinweis:

Das Entfernen der E-Mail Signatur kann beim Einsatz mobiler Endgeräte - zum Beispiel via Microsoft ActiveSync - als E-Mail Clients von Vorteil sein, da diese häufig nicht mit diesen Signaturen umgehen können.

Weiterhin werden durch das Entfernen eventuell unterschiedliche Prüfergebnisse zwischen SEPPmail Secure E-Mail Gateway und dem E-Mail Client vermieden, welche durch unterschiedliche Vertrauens-Status der ausstellenden CAs (vergleiche beispielsweise Windows „Vertrauenswürdige Stammzertifizierungsstellen“ versus X.509 Root Certificates) der Signaturzertifikate entstehen könnten.

LinkCheckBoxActive Add this text to message subject if S/MIME signature fails:

Im Standard ist diese Option aktiv und hat das Schlüsselwort \[signed\sINVALID\] hinterlegt.

Eingehende, signierte E-Mails, deren Signaturen durch das SEPPmail Secure E-Mail Gateway geprüft und als ungültig befunden wurden, werden mit dem angegebenen Schlüsselwort im Betreff gekennzeichnet.

Zusätzlich wird unter Logs Mail log ein entsprechender OpenSSL-Fehler ausgegeben.

LinkCheckBoxInactive Remove signature if S/MIME signature check fails

Diese Option ist im Standard inaktiv.

Entfernt die S/MIME E-Mail Signatur nach fehlgeschlagener Prüfung.

 

hint

LinkHinweis:

Bei aktiver Option ist keine weitere Prüfung der Signatur auf dem E-Mail Client, also auch durch den Benutzer, möglich. Somit kann dieser nicht selbstständig feststellen, weshalb eine Signatur als ungültig eingestuft wurde.

LinkCheckBoxInactive Add this text to message subject if OpenPGP signature check succeeds:

Diese Option ist im Standard inaktiv und hat das Schlüsselwort \[signed\sok\] hinterlegt.

Eingehende, OpenPGP MIME signierte E-Mails, deren Signaturen durch das SEPPmail Secure E-Mail Gateway geprüft und als gültig befunden wurden, werden mit dem angegebenen Schlüsselwort im Betreff gekennzeichnet.

 

hint

LinkHinweis:

Aufgrund der fehlenden hierarchischen Struktur von OpenPGP kann die Authentizität des Absenders nicht zuverlässig geprüft werden. Somit eignet sich die OpenPGP Signatur ausschließlich für das Sicherstellen der Integrität einer E-Mail und hat deshalb auch rechtlich keinerlei Aussagekraft.

Weiterhin muss für das erfolgreiche Prüfen einer OpenPGP Signatur der öffentliche Schlüssel des Absenders auf dem SEPPmail Secure E-Mail Gateway bekannt sein (siehe OpenPGP Public Keys).

LinkCheckBoxInactive Add this text to message subject if OpenPGP signature fails:

Diese Option ist im Standard inaktiv und hat das Schlüsselwort \[signed\sINVALID\ hinterlegt.

Eingehende, OpenPGP signierte E-Mails, deren Signaturen durch das SEPPmail Secure E-Mail Gateway geprüft und als ungültig befunden wurden, werden mit dem angegebenen Schlüsselwort im Betreff gekennzeichnet.

LinkCheckBoxInactive Support triple wrapping

(neu in 12.1)

Diese Option ist im Standard inaktiv.

Aktiviert die „Triple Wrapping“ Unterstützung (siehe RFC 2634).

 

hint

LinkHinweis:

Diese Technologie wird zum Beispiel per Standard bei S/MIME behandelten E-Mails aus den Google Plattformen verwendet. Damit S/MIME behandelte E-Mails von Absendern mit Google E-Mail Adressen gelesen werden können, muss diese Option aktiv sein.

 

hint

LinkHinweis:

Bei „triple wrapped“ E-Mails (optional S/MIME signiert - S/MIME-verschlüsselt - S/MIME signiert) wird die äußere Signatur nach dem Prüfen stets entfernt.

War das Prüfergebnis der äußeren Signatur negativ, so wird die E-Mail generell als „ungültig signiert“ gekennzeichnet.

Beinhaltet die verschlüsselte E-Mail wieder eine Signatur, so wird die E-Mail nur dann als „gültig signiert“ gekennzeichnet, wenn sowohl die äußere, als auch die innere Signatur gültig ist.

LinkOutgoing e-mails

 

hint

LinkHinweis:

Sofern die Zertifikatskette nicht bereits in den Zertifikaten, welche für das Signieren verwendet werden vorhanden ist, wird diese während des Signierens durch die Appliance ergänzt. Dies setzt voraus, dass der Appliance die komplette eigene Zertifikatskette - inklusive der Zwischenzertifikate - bekannt, also unter X.509 Root Certificates als vertrauenswürdig eingestuft ist.

 

hint

LinkHinweis:

Für das Anziehen des privaten Signaturschlüssels wird in der Regel der Sender aus dem FROM-Header der E-Mail herangezogen (siehe gegebenenfalls auch authenticated()).

Dadurch funktioniert zum Beispiel auch die Vertreterregelungen „Senden im Auftrag von“ in Microsoft Outlook mit anderen E-Mail Clients beim Empfänger, ohne dass ein Eingriff via Custom commands notwendig wäre (siehe auch Signatur: Verwendeter Schlüssel bei Microsoft Vertreterregelung).

 

Ist der Sender des FROM-Headers nicht intern - also keiner Managed domain zuzuordnen - so wird auf das Vorhandensein des SENDER-Headers geprüft. Ist dieser vorhanden und der darin enthaltene Sender intern, so wird dieser für das Anziehen des Signaturschlüssels verwendet.

Dadurch werden Probleme beim Weiterleiten von Kalendereinladungen vermieden.

 

hint

LinkHinweis:

Für das Signieren wird jeweils der Schlüssel / das Zertifikat des Absenders mit der längsten Gültigkeit herangezogen.

Generell gilt jedoch, per MPKI ausgestellte Zertifikate werden bevorzugt für das Signieren verwendet („Bonus“ von 10 Jahren). Damit wird verhindert, dass „Umsteiger“, welche zunächst Zertifikate einer selbst signierten Zertifizierungsstelle (diese stellt in der Standard-Einstellung Zertifikate mit einer Laufzeit von zehn Jahren aus) im Einsatz hatten, weiterhin mit diesen Zertifikaten anstatt der über die MPKI bezogenen Trusted Zertifikate (diese werden in der Regel mit einer Laufzeit von nur einem Jahr ausgestellt) signieren.

 

hint

LinkHinweis:

Das SEPPmail Secure E-Mail Gateway signiert E-Mails per Standard mittels Klartext-Signatur. Dadurch wird - im Gegensatz zur Opaque-Signatur - gewährleistet, dass signierte E-Mails auch mit E-Mail-Clients gelesen werden können, welche kein S/MIME beherrschen (häufig mobile Endgeräte).

 

LinkCheckBoxActive S/MIME sign outgoing mails with the following text in subject: 

Im Standard ist diese Option aktiv und hat das Schlüsselwort \[sign\] hinterlegt.

Wird das angegebene Schlüsselwort im Betreff einer ausgehenden E-Mail gefunden, so wird diese S/MIME signiert.

 

warning

LinkAchtung:

Das, beziehungsweise die hier verwendeten Schlüsselwörter müssen sich von denen für die Verschlüsselung (siehe Encryption/Decryption Outgoing e-mails Always encrypt mails with the following text in subject:) unterscheiden.

LinkCheckBoxInactive Sign all outgoing mails if

S/MIME certificate available

Im Standard ist diese Option aktiv.

Signiert alle ausgehenden E-Mails (keine Kalendereinträge sowie oder RTF formatierte Nachrichten!) von SEPPmail Secure E-Mail Gateway Benutzern (Users) mit gültigem S/MIME Zertifikat.

 

hint

LinkHinweis:

Da mit der S/MIME Signatur jeweils das Zertifikat des Absenders mitgesendet wird, wird dieses durch das Aktivieren dieser Option möglichst vielen Kommunikationspartnern zur Verfügung gestellt. Dadurch werden diese wiederum in de Lage versetzt S/MIME verschlüsselt mit dem Absender zu kommunizieren.

Weiterhin wird hierdurch die Integrität und Authentizität jeder E-Mail automatisiert bestätigt.

LinkCheckBoxInactive OpenPGP sign messages when encrypting with OpenPGP and sender has a secret key

Diese Option ist im Standard inaktiv.

E-Mails, bei welchen aufgrund der Verschlüsselungshierarchie OpenPGP zum Einsatz kommt, werden automatisch OpenPGP signiert, sofern der Absender im Besitz eines gültigen OpenPGP Schlüsselpaares auf der Appliance ist.

 

hint

LinkHinweis:

Aufgrund der fehlenden hierarchischen Struktur von OpenPGP kann die Authentizität des Absenders nicht zuverlässig geprüft werden. Somit eignet sich die OpenPGP Signatur ausschließlich für das Sicherstellen der Integrität einer E-Mail und hat deshalb auch rechtlich keinerlei Aussagekraft.

Weiterhin muss für das erfolgreiche Prüfen einer OpenPGP Signatur dem Empfänger der öffentliche Schlüssel des Absenders (siehe Users) bekannt sein.

LinkCheckBoxActive Do not S/MIME sign outgoing mails with the following text in subject:

Im Standard ist diese Option aktiv und hat das Schlüsselwort \[nosign\] hinterlegt.

Wird das angegebene Schlüsselwort im Betreff einer ausgehenden E-Mail gefunden, so wird das automatische S/MIME Signieren (siehe „Sign all outgoing mails if S/MIME certificate available“) in jedem Fall unterdrückt. Andere kryptographische Aktionen (Verschlüsseln) sind davon nicht betroffen.

 

hint

LinkHinweis:

Das Unterdrücken der E-Mail Signatur kann beim Einsatz mobiler Endgeräte durch den Empfänger von Vorteil sein, da mobile Endgeräte häufig nicht mit diesen Signaturen umgehen können.

LinkCheckBoxInactive Use opaque signature

Diese Option ist im Standard inaktiv.

In der Regel werden E-Mail Signaturen im Klartext angehangen. Somit kann eine signierte E-Mail, auch ohne Prüfen der Signatur und damit mit jedem x-beliebigen E-Mail Client, gelesen werden.

Bei der Opaque Signatur wird der E-Mail Inhalt und die Signatur gemeinsam in einem MIME-Part gespeichert. Somit können Opaque signierte E-Mails ausschließlich mit S/MIME-fähigen E-Mail-Clients gelesen werden.

LinkCheckBoxInactive Use triple wrapping

(neu in 12.1)

Diese Option ist im Standard inaktiv.

Aktiviert das „Triple Wrapping“ (siehe RFC 2634) beim Senden von E-Mails.

 

hint

LinkHinweis:

Bei S/MIME behandelten E-Mails wird diese Technologie zum Beispiel auf den Google Plattformen vorausgesetzt. Wurde kein „Triple Wrapping“ verwendet, so werden S/MIME behandelte E-Mails unter Umständen mit zum Beispiel folgendem Fehler

"554 5.7.5 To prevent known S/MIME vulnerabilities, Gmail does not accept S/MIME encrypted messages without an accompanying valid S/MIME signature."

abgewiesen oder sind gegebenenfalls im Web-Mailer des Empfängers nicht lesbar.

 

Unterstützt das System des Kommunikationspartners kein „Triple Wrapping“, so kann diese Einstellung unter Umständen zu Problemen führen.

 

Gegebenenfalls ist im Einzelfall das Einrichten einer Encryption Policy hilfreich.

LinkCheckBoxInactive Use default digest for S/MIME signing: DropDown

Diese Option ist im Standard inaktiv.

Bei Aktivieren kann über dieses Auswahl-Menü der zu verwendende Hash-Algorithmus beim Signieren ausgewählt werden.

Bleibt diese Einstellung deaktiviert, so wird SHA-256 verwendet.

 

LinkSHA-1

Niedrigster Sicherheitsstandard aber höchste Kompatibilität. Sollte nicht mehr verwendet werden, da dieses Verfahren als unsicher gilt.

LinkSHA-256

Standardeinstellung (empfohlen).

Aktueller Sicherheitsstandard. Wird in der Regel von den aktuellen E-Mail Client-Produkten bei der Signaturprüfung unterstützt.

LinkSHA-512

Höchster Sicherheitsstandard. Dieser kann jedoch unter Umständen auf Empfängerseite zu Kompatibilitätsproblemen führen

LinkCheckBoxInactive Prefer RSA-PSS for

S/MIME signatures

Diese Option ist im Standard inaktiv.

Verwenden von PSS global als Padding-Verfahren für das Signieren via S/MIME (siehe gegebenenfalls auch https://de.wikipedia.org/wiki/Padding_(Informatik) und https://de.wikipedia.org/wiki/Probabilistic_Signature_Scheme).

 

hint

LinkHinweis:

PSS für die Signatur eines Zertifikates benötigt ein entsprechendes Zertifikat des Ausstellers. Dies ist jedoch nicht relevant für die Signieren einer E-Mail unter Verwendung von PSS.

 

Wird PSS beim Empfänger nicht unterstützt - dies ist bislang bei allen E-Mail Clients der Fall (!) - so wird die Signatur als ungültig erklärt.

Von einem flächendeckenden Einsatz von PSS für das Signieren wird deshalb abgeraten.

LinkLarge files

(nur mit entsprechender Large File Transfer (LFT) Lizenz (siehe auch Home Licenses Large File Transfer (LFT) licenses), sowie per GINA Domains aktiviertem Large File Transfer funktionsfähig.

LinkCheckBoxActive Always use large file processing for mails with the following text in subject:

Im Standard ist diese Option aktiv und hat das Schlüsselwort \[lfm\] hinterlegt.

Wird das angegebene Schlüsselwort im Betreff einer ausgehenden E-Mail gefunden, so wird diese - unabhängig von der Größe - mittels Large File Transfer (LFT) Technologie versendet.

Dies impliziert eine gültige Large File Transfer (LFT) Lizenz

LinkCheckBoxInactive Do not use large file processing for mails with the following text in subject:

Diese Option ist im Standard inaktiv und hat das Schlüsselwort \[nolfm\] hinterlegt.

Wird das angegebene Schlüsselwort im Betreff einer ausgehenden E-Mail gefunden, so wird das Verwenden der LFT-Technologie selbst dann unterdrückt, wenn der eingestellte Größen-Schwellwert (siehe CHANGE GINA SETTINGS FOR Large File Transfer Outgoing policy Size (in KB) above which messages are treated as large files (set to 0 to treat all messages as large files)) überschritten wird.

LinkProtection Pack

(nur mit entsprechender Protection Pack (PP) Lizenz (siehe auch Home Licenses Protection Pack (AntiSpam / AntiVirus)), sowie unter Mail System Antispam entsprechend aktivierter Funktionen funktionsfähig.

LinkCheckBoxInactive Check mails for viruses and send infected mails to (leave empty to reject infected mails):

Diese Option ist im Standard inaktiv.

Aktiviert die Viren-Scan-Funktion. Infizierte E-Mails werden an die optional einzugebende E-Mail Adresse umgeleitet (Quarantäne). Bleibt das Eingabefeld für die E-Mail Adresse leer, so werden infizierte E-Mails abgewiesen (bounced).

 

warning

LinkAchtung:

Wird an dieser Stelle ein Postfach angegeben, so ist zu beachten, dass infizierte E-Mails unverschlüsselt an diese Adresse gesendet werden.

Dementsprechend wird bei Angabe einer Adresse aus einer Managed Domain

Note: Infected emails are sent unencrypted to the quarantine.

beziehungsweise bei Angabe einer externen E-Mail Adresse

Note: In case of an infection, you are sending an unencrypted email to an unmanaged domain!

 

hint

LinkHinweis:

Generell sollten infizierte E-Mails abgelehnt und nicht an eine E-Mail Adresse umgeleitet werden.

Wird die E-Mail abgelehnt, so bleibt sie im Verantwortungsbereich des Absenders.

Wird sie hingegen umgeleitet, gelangt sie in den Verantwortungsbereich des Empfängers. Dies kann bei zeitkritischen E-Mails, welche in der Quarantäne verbleiben, problematisch sein.

 

warning

LinkAchtung:

Ist die Option Use ClamAV antivirus Engine (Note: remember to activate in ruleset) aus Mail System Antispam deaktiviert, so würden E-Mails als „Virus-frei“ weitergeleitet.

 

Dateien, welche 1 GB überschreiten werden nicht gescannt um Timeouts zu vermeiden. Ein entsprechender Log Eintrag wird generiert.

LinkExclude the following signatures from test (regular expression, e.g. "(Eicar-Test-Signature)|(Heuristics\.Encrypted\.PDF)"):

Diese Option ist im Standard inaktiv.

Für den Fall, dass ClamAV nach einem Signatur-Update sogenannte „false positive“ Meldungen erzeugt, können an dieser Stelle Ausnahmen vom Virenscan definiert werden. Dies können

heuristische Teil-Prüfungen sein (siehe gegebenenfalls www.clamav.net))

einzelne Viren Namen, wie sie dem Log zu entnehmen sind (als Regulärer Ausdruck, das heißt Sonderzeichen müssen als solche markiert werden (siehe Reguläre Ausdrücke).

sein.

Im Standard verwendet die Scan Engine die ClamAV Signaturen sowie weitere Signaturen von Sanesecurity (http://sanesecurity.com) (siehe Mail System AntiSpam Enable unofficial signatures for ClamAV).

LinkSend notification to this e-mail address if a virus was found:

Diese Option ist im Standard inaktiv.

Versendet Benachrichtigungen über Viren-Funde an die angegebene E-Mail Adresse.

LinkCheckBoxInactive Block windows executable files in mails

Diese Option ist im Standard inaktiv.

E-Mails, welche ausführbare Windows Dateiformate enthalten werden abgelehnt (rejected).

 

hint

LinkHinweis:

Im engeren Sinne sind „Executables“ Binärdateien, die nativ ausgeführt werden können. Skript Dateiformate, für deren Ausführung auf dem Betriebssystem ein entsprechender Interpreter benötigt wird (wie etwa Java-Script) sind von dieser Option nicht berührt (siehe nächste Option!).

LinkCheckBoxActive Search inside unencrypted zip archives

Im Standard ist diese Option aktiv.

Bei aktiver Option wird auch in ZIP Archiven nach ausführbaren Windows Dateiformaten gesucht.

 

warning

LinkAchtung:

Durch die Suche innerhalb von ZIP Archiven kann das Prüfen mitunter sehr lange dauern und somit zu Timeouts führen.

LinkCheckBoxInactive Block (most) script files in mails (e.g. .js files)

Diese Option ist im Standard inaktiv.

E-Mails, welche übliche, ausführbare Skript Dateiformate enthalten werden abgelehnt (rejected).

LinkCheckBoxActive Search inside unencrypted zip archives

Im Standard ist diese Option aktiv.

Bei aktiver Option wird auch in ZIP Archiven nach ausführbaren Skript Dateiformaten gesucht.

 

warning

LinkAchtung:

Durch die Suche innerhalb von ZIP Archiven kann das Prüfen mitunter sehr lange dauern und somit zu Timeouts führen.

hint

LinkHinweis:

Die folgenden SPAM Prüfungen werden generell übersprungen, sofern die sendende IP-Adresse unter Mail System Manual blocklisting / welcomelisting gelistet ist.

LinkCheckBoxInactive Check incoming mails for spam and add the following text to the subject to identify spam:

Diese Option ist im Standard inaktiv und hat das Schlüsselwort [SPAM] hinterlegt.

Als SPAM klassifizierte E-Mails werden mit dem angegebenen Text in der Betreffzeile versehen und an den Empfänger weitergeleitet. Basis der Klassifizierung ist der angegebene Tag level (siehe nächste Option).

 

warning

LinkAchtung:

ist die Option Use antispam Engine (Note: remember to activate in ruleset) aus Mail System Antispam deaktiviert, so würde keine Spam-Erkennung stattfinden.

 

E-Mails, welche 5 MB überschreiten werden nicht geprüft um Timeouts zu vermeiden. Ein entsprechender Log Eintrag wird generiert.

LinkTag level: DropDown

Auswahl, des Schwellwertes für die SPAM-Erkennung. Je niedriger dieser Wert (0.5 bis 19.5) gesetzt wird, desto strenger sind die Kriterien für die SPAM-Erkennung.

Im Standard ist der Wert „2“ gewählt.

Bei niedrigen Werten erhöht sich das Risiko von Falscherkennungen, so dass gegebenenfalls auch legitime E-Mails als SPAM erkannt und markiert werden.

LinkCheckBoxInactive Check incoming mails for spam and redirect spam to (leave empty to reject spam):

Diese Option ist im Standard inaktiv.

Als SPAM klassifizierte E-Mails werden an die optional einzugebende E-Mail Adresse umgeleitet (Quarantäne). Bleibt das Eingabefeld für die E-Mail Adresse leer, so werden die klassifizierten E-Mails abgewiesen (bounced). Basis für die SPAM-Erkennung ist der angegebene Spam level (siehe nächste Option).

 

Infizierte E-Mails werden an die optional einzugebende E-Mail Adresse gesendet (Quarantäne). Bleibt das Eingabefeld für die E-Mail Adresse leer, so werden infizierte E-Mails abgewiesen (bounced).

 

hint

LinkHinweis:

Generell sollten SPAM E-Mails abgelehnt und nicht an eine E-Mail Adresse umgeleitet werden.

Wird die E-Mail abgelehnt, so bleibt sie im Verantwortungsbereich des Absenders.

Wird sie hingegen umgeleitet, gelangt sie in den Verantwortungsbereich des Empfängers. Dies kann bei zeitkritischen E-Mails, welche in der Quarantäne verbleiben, problematisch sein.

 

warning

LinkAchtung:

ist die Option Use antispam Engine (Note: remember to activate in ruleset) aus Mail System Antispam deaktiviert, so würde keine Spam-Erkennung stattfinden.

 

E-Mails, welche 5 MB überschreiten werden nicht geprüft um Timeouts zu vermeiden. Ein entsprechender Log Eintrag wird generiert.

LinkSpam level: DropDown

Auswahl, des Schwellwertes für die SPAM-Erkennung. Je niedriger dieser Wert (0.5 bis 19.5) gesetzt wird, desto strenger sind die Kriterien für die SPAM-Erkennung.

Im Standard ist der Wert „4“ gewählt.

Bei niedrigen Werten erhöht sich das Risiko von Falscherkennungen, so dass gegebenenfalls auch legitime E-Mails als SPAM erkannt und umgeleitet beziehungsweise abgelehnt (bounced) werden.

LinkCheckBoxInactive Reject incoming mails with spoofed sender domain preventing processing of internal mails

Diese Option ist im Standard inaktiv.

Stammt der Absender im Envelope oder FROM Header (oder SENDER Header, sofern vorhanden) einer eingehenden E-Mail aus einer Managed domain wird die E-Mail abgewiesen.

 

warning

LinkAchtung:

Mit dieser Option wird sämtlicher interner E-Mail Verkehr, also von Managed domains an Managed domains, unterbunden. Dies spielt im Normalfall keine Rolle, da interne E-Mails vom E-Mail Server direkt zugestellt werden und nicht bis zum SEPPmail Secure E-Mail Gateway gelangen.

Insbesondere in MSP Umgebungen werden jedoch E-Mails von den Managed domains eines Kunden an Managed domains anderer Kunden gesendet, sodass diese Option hier nur bedingt Einsatz finden kann (siehe auch Mandanten: Absichern des SEPPmail Secure E-Mail Gateway).

LinkCheckBoxInactive Reject mails if from header does not contain a valid e-mail address

Diese Option ist im Standard inaktiv.

Enthält der FROM-Header (und SENDER Header, sofern vorhanden) einer E-Mail keine gültige E-Mail Adresse, so wird die E-Mail abgewiesen.

 

warning

LinkAchtung:

Dies kann dazu führen, dass System-E-Mails ebenfalls abgewiesen werden, da diese häufig ohne Absender gesendet werden.

LinkHeader tagging

Durch das „Header Tagging“ wird das Setzen eines erweiterten, sogenannten X-Headers und einen zugehörigen Wert für unterschiedliche Situationen (siehe folgende Optionen) durch das SEPPmail Secure E-Mail Gateway ermöglicht. Diese erweiterten Informationen können durch nachgelagerte Komponenten ausgewertet werden.

Ein Beispiel für so eine zusätzliche, nachgelagerte, E-Mail verarbeitende Komponente könnte ein Data Loss Prevention (DLP) System sein.

 

hint

(neu in 11.1)

LinkHinweis:

Die X-Header

X-SM-incoming
 

X-SM-outgoing
 

X-SM-internal
 

X-SM-encrypted
 

X-SM-decrypted
 

werden per Standard immer gesetzt mit dem Wert „yes“ befüllt, wenn die entsprechende Situation eintritt, unabhängig von den folgenden, optionalen Einstellungen.

LinkCheckBoxInactive Set header Input to value Input for all incoming and internal mails

Diese Option ist im Standard inaktiv.

Setzt den angegebenen X-Header mit dem zugeordneten Wert für alle eingehenden und internen (siehe auch Set header ñ to value ñ for all internal mails) E-Mails.

LinkCheckBoxInactive Set header Input to value Input for all outgoing mails

Diese Option ist im Standard inaktiv.

Setzt den angegebenen X-Header mit dem zugeordneten Wert für alle ausgehenden E-Mails.

LinkCheckBoxInactive Set header Input to value Input for all internal mails

Diese Option ist im Standard inaktiv.

Setzt den angegebenen X-Header mit dem zugeordneten Wert für alle internen E-Mails, also von einer Managed domain an eine Managed domain.

 

LinkCheckBoxInactive Set header Input to value Input For all mails that have been encrypted

Diese Option ist im Standard inaktiv.

Setzt den angegebenen X-Header mit dem zugeordneten Wert für alle E-Mails, welche durch das SEPPmail Secure E-Mail Gateway verschlüsselt wurden.

LinkCheckBoxInactive Set header Input to value Input For all mails that have been decrypted

Diese Option ist im Standard inaktiv.

Setzt den angegebenen X-Header mit dem zugeordneten Wert für alle E-Mails, welche durch das SEPPmail Secure E-Mail Gateway entschlüsselt wurden.

LinkArchiving

LinkCheckBoxInactive Send a copy of ALL mails to the following address: 

Diese Option ist im Standard inaktiv.

Sendet eine 1:1 Kopie aller über das SEPPmail Secure E-Mail Gateway transportierten E-Mails - noch vor dem Ver-, beziehungsweise nach dem Entschlüsseln - an die angegebene E-Mail Adresse.

LinkCustom commands

Über Custom Commands können, über den in den Regelwerk-Anweisungen definierten Befehlssatz, spezifische Anforderungen an entsprechender Stelle im Ruleset eingefügt werden.

 

hint

LinkHinweis:

Beim Speichern von Custom Commands wird ein Syntax Check durchgeführt. Somit wird ein ungültiges Regelwerk nicht aktiviert.

LinkCheckBoxInactive Custom commands for incoming e-mails BEFORE decryption:

Diese Option ist im Standard inaktiv.

Fügt den im Eingabefeld vorhandenen Code an der Stelle im Ruleset für eingehende E-Mails VOR dem Entschlüsseln ein.

LinkCheckBoxInactive Custom commands for incoming e-mails AFTER decryption:

Diese Option ist im Standard inaktiv.

Fügt den im Eingabefeld vorhandenen Code an der Stelle im Ruleset für eingehende E-Mails NACH dem Entschlüsseln ein.

LinkCheckBoxInactive Custom commands for outgoing e-mails BEFORE encryption:

Diese Option ist im Standard inaktiv.

Fügt den im Eingabefeld vorhandenen Code an der Stelle im Ruleset für ausgehende E-Mails VOR dem Verschlüsseln ein.

LinkCheckBoxInactive Custom commands for e-mails from GINA:

Diese Option ist im Standard inaktiv.

Fügt den im Eingabefeld vorhandenen Code an der Stelle im Ruleset für eingehende GINA-Mails ein.

LinkCheckBoxInactive Custom commands for user creation:

Diese Option ist im Standard inaktiv.

Ersetzt den Code für das unter User creation ausgewählte Standardverfahren für das Generieren neuer Benutzer.

Ist die Option aktiv, so wird dieser Code bei Auswahl von

Do not create accounts (also disables custom commands for user creation) nie

Create accounts for new users if user tries to sign / encrypt nur beim Versuch zu verschlüsseln/signieren

Create accounts for all users immer

durchlaufen.

 

warning

LinkAchtung:

Da diese Option das ausgewählte Standardverfahren für das Generieren neuer Benutzer ersetzt, würde bei aktivierter Option ohne eingegebenen Code niemals ein Benutzer angelegt!

Aus diesem Grund ist das Eingabefeld dieser Option mit dem Standard-Code für das Generieren von neuen Benutzern vorbelegt.

Sofern der hier eingetragene Code nicht angepasst wurde (also dem Standard entspricht), würde dieser bei Bedarf mit einem Firmware-Update ebenfalls aktualisiert.

Um gegebenenfalls nach dem manuellen Anpassen den Standard-Code wieder zu erhalten, muss der Inhalt des Eingabefeldes gelöscht und das Ruleset mittels Save neu generiert werden.

LinkCheckBoxInactive Custom macros and commands for all e-mails BEFORE processing:

Diese Option ist im Standard inaktiv.

An dieser Stelle können Makros - also Code-Blöcke, welche einmalig definiert und im Anschluss beliebig oft in den Custom commands verwendet werden können - erstellt werden.

Diese werden im Ruleset (siehe SMTP ruleset Display ruleset) ganz oben platziert. Somit kann an dieser Stelle auch Code vor dem eigentlichen „Mail Processing“ platziert werden.

LinkKey server

Über Key Server wird das zusätzliche Abfragen öffentlicher Schlüssel von Kommunikationspartnern ermöglicht. Somit kann gegebenenfalls auch dann verschlüsselt werden, wenn auf dem SEPPmail Secure E-Mail Gateway noch kein Schlüsselmaterial des Empfängers bekannt, jedoch auf dem eingetragenen Key Server vorhanden ist. Die Key Server Abfrage findet jeweils noch vor der Abfrage des eigenen Schlüsselspeichers (siehe X.509 Certificates, beziehungsweise OpenPGP Public Keys) statt.

Die Abfrage wird immer vom E-Mail verarbeitenden System ausgeführt. Sofern dies ein Frontend-Server ist, übergibt dieser das so bezogene Schlüsselmaterial zum Speichern an das Backend-System.

 

Nach dem Speichern eines Key Server Eintrags wird jeweils ein weiteres Eingabefeld eingeblendet.

 

hint

LinkHinweis:

Öffentliche Key Server und sogenannte Schlüsselsammler beherbergen häufig „totes“ Schlüsselmaterial. Das heißt, für die über den Key Server bereitgestellten öffentlichen Schlüssel besitzen die Empfänger oft nicht mehr den privaten Schlüssel. Somit sind diese nicht in der Lage die verschlüsselten E-Mails zu lesen.

Aus diesem Grund wird dringend von der Abfrage solcher Server abgeraten.

 

warning

LinkAchtung:

Für Key Server, welche hier eingetragen sind wird vorausgesetzt, das diesen vertraut wird.

Zertifikate, welche über den Key Server bezogen werden, werden folglich auch dann für das Verschlüsseln verwendet, wenn die ausstellende Stammzertifizierungsstelle unbekannt ist (siehe auch X.509 Root Certificates).

LinkType DropDown

Auswahl des abzufragenden Schlüsselmaterials.

Die Suchfilter für eine Schlüsselserver-Abfrage sind für die Standard-Technologien S/MIME und OpenPGP genormt.

Sollte dennoch ein anderer Suchfilter erforderlich sein, so besteht die Möglichkeit eine benutzerdefinierte Abfrage über Custom commands, mittels der Befehle ldap_getpgpkeys(), beziehungsweise ldap_getcerts() zu erstellen.

LinkS/MIME

Standardeinstellung.

Auswahl für S/MIME Schlüsselsuche.

(Standardsuchfilter (mail=<E-Mail Adresse des Empfängers>))

 

hint

LinkHinweis:

Wird auf dem Key Server ein neueres Zertifikat als im Zertifikatsspeicher (X.509 Certificates) gefunden, so wird dieses neuere Zertifikat im Zertifikatsspeicher abgelegt und somit für das Verschlüsseln verwendet.

 

hint

LinkHinweis:

Gemäß RFC 4523 müssen die Zertifikate auf dem Key Server im Attribut „userCertificate;binary“ im „binary“ Format vorliegen. Sollten die Zertifikate dort in einem anderen Format vorliegen, so erscheint im Detail-Log (siehe auch Logs Nr.) die Meldung

Error getting information for certificate: new_from_string error: Crypt::OpenSSL::X509: failed to read X509 certificate. at /usr/local/sepp/lib/Crypto/SMIME/X509.pm line 155.

LinkOpenPGP

Auswahl für OpenPGP Schlüsselsuche.

(Standardsuchfilter (pgpUserID=<E-Mail Adresse des Empfängers>)

 

hint

LinkHinweis:

Wird bei der Abfrage eines öffentlichen OpenPGP Schlüssels ein Schlüssel gefunden, dessen Key ID identisch mit einem bereits vorhandenen Eintrag im Schlüsselspeicher (OpenPGP Public Keys) ist, so wird dieser Schlüssel auf der Appliance durch das Ergebnis der LDAP-Abfrage überschrieben.

LinkRecipient mask (regexp)

Regulärer Ausdruck, welcher die Ziel-E-Mail-Domänen für die Abfrage bestimmt.

Soll die Abfrage beispielsweise für nur eine E-Mail-Domäne gelten, so könnte der Ausdruck wie folgt lauten:

@mein-kommunikationspartner.tld\.de

LinkURI

Gibt den Pfad zum Schlüsselserver an.

Beispiele hierfür wären

ldap://mein-kommunikationspartner.tld\.de

ldaps://mein-kommunikationspartner.tld\.de

ldaps://mein-kommunikationspartner.tld\.de:1636

Die Zugangsdaten müssen vom Betreiber des Schlüsselservers bereitgestellt werden.

LinkBind DN

(optional)

Zur Abfrage berechtigter Benutzer, zum Beispiel

cn=meinefirma,ou=keys,o=mein-kommunikationspartner.tld,c=de

LinkBind PW

(optional)

Zum Benutzer zugehöriges Passwort

 

hint

LinkHinweis:

Semikolons „;“ und Backslashes „\“ müssen jeweils mit einem Backslash als Sonderzeichen gekennzeichnet werden, also „\;“, beziehungsweise „\\“.

Somit müsste beispielsweise das Passwort

p4ss\w0rd;

wie folgt eingegeben werden:

p4ss\\w0rd\;

LinkBase DN

LDAP-Suchpfad, in welchem die zu suchenden Schlüssel abliegen.

LinkCheckBoxInactive Ignore failure

Diese Option ist im Standard inaktiv.

Verhindert das Ablehnen (bounce) der E-Mail im Falle der Nichterreichbarkeit des LDAP-Servers.

LinkAdvanced options

LinkCheckBoxInactive Completely disable GINA technology

Diese Option ist im Standard inaktiv.

Deaktiviert komplett die GINA-Technologie.

Als Folge würden als „zu verschlüsselnd“ gekennzeichnete E-Mails abgewiesen werden, wenn keine andere Verschlüsselungsmethoden (S/MIME, OpenPGP, Domain) verfügbar sind.

 

hint

LinkHinweis:

Wird die GINA-Technologie über diese Option abgeschaltet, so ist darauf zu achten, dass alle Optionen aus „Encryption/Decryption“, welche diese Technologie ansteuern, deaktiviert sind. Ebenso darf kein Ansteuern dieser Technologie über Custom commands erfolgen.

LinkCheckBoxInactive Completely disable user-based S/MIME and OpenPGP

Diese Option ist im Standard inaktiv.

Deaktiviert sowohl die benutzerbezogene S/MIME- als auch OpenPGP-Technologie.

Diese Option wird verwendet, wenn ausschließlich Domänen- und/oder GINA-Verschlüsselung verwendet werden soll.

 

hint

LinkHinweis:

Wird diese Option gewählt, so ist darauf zu achten, dass alle Optionen aus „Encryption/Decryption“, welche diese Technologien ansteuern deaktiviert sind. Ebenso darf kein Ansteuern dieser Technologien über Custom commands erfolgen.

LinkCheckBoxInactive Use remote GINA server, reachable under the following e-mail address:

Diese Option ist im Standard inaktiv.

Muss aus revisionstechnischen Gründen der GINA-Teil in einer anderen Demilitarisierten Zone (DMZ) als der SMTP verarbeitende Teil stehen, so ist über diese Option ein entsprechendes Auftrennen der Lösung möglich. Die einzelnen Funktionsteile können dabei sogar auf unterschiedliche Standorte verteilt werden.

Alle GINA zu verschlüsselnden E-Mails werden dann über die hier angegebene Pseudo-E-Mail Adresse (zum Beispiel GINA@GINApseudodomain.local) S/MIME verschlüsselt per SMTP an den GINA-Satelliten geleitet.

LinkCheckBoxInactive This is a remote GINA server

Diese Option ist im Standard inaktiv.

Definiert den Gegenpart zur Option Use remote GINA server, reachable under the following e-mail address:, also den GINA-Satelliten.

An der Satelliten Appliance muss die Pseudo-Mail-Domäne (im Beispiel oben „ginapseudodomain.local“) als zusätzliche Managed domain eingetragen werden (siehe Mail System Managed domains). Ebenso müssen die Managed domains des Basis-Systems erfasst werden. Die GINA-Konfiguration und deren Zuordnung zu den Managed domains erfolgt auf dem Satelliten-System (siehe GINA Domains Domains).

LinkRelay for domain:

Hier sind die Managed domains des Basis-Systems als Regulärer Ausdruck einzutragen (siehe Mail System Managed domains).

Das Trennen der Domains erfolgt durch ein Pipe-Zeichen „|“, also domain1\.tld|domain2\.tld|domainn\.tld .

 

hint

LinkHinweis:

Theoretisch kann somit auch ein GINA-Satellit, für mehrere Appliances, welche unterschiedliche Managed domains beherbergen, konfiguriert werden.

LinkRelay e-mail address:

Hier ist die gleiche Pseudo-E-Mail Adresse einzutragen wie auf dem „Basis“-System unter Use remote GINA server, reachable under the following e-mail address:.

LinkRelay domain key fingerprint:

Hier sind die Fingerprints der Domänen Zertifikate der unter „Relay for domain“ angegebenen Managed domains, jeweils durch ein Pipe-Zeichen „|“ getrennt als Regulärer Ausdruck, also fingerprint1|fingerprint2|fingerprintn, anzugeben.

(siehe ADD/EDIT MANAGED DOMAIN S/MIME domain encryption).

LinkCheckBoxInactive Use Incamail instead of local GINA interface

Diese Option ist im Standard inaktiv.

Aktiviert den Schweizer Dienst Incamail anstelle der GINA Technologie.

LinkUse custom delivery method:

Im Standard ist diese Option leer.

Ist ein Eintrag vorhanden, wird die Option rot dargestellt!

Legt die Art und Weise des E-Mail Flusses fest.

Beispielsweise kann die vor Version 11.1.11 verfügbare Option Re-inject mails to sending mailserver durch den Eintrag von  „loop“ (siehe auch Konfig: Re-Inject mails to sending mailserver), beziehungsweise die Option Run in queueless mode durch den Eintrag von „queueless“ (siehe auch Konfig: Queueless Mode) hervorgerufen werden.

 

Weiterhin kann über diese Option quasi ein „Custom commands for outgoing e-mails AFTER encryption“ abgebildet werden (siehe auch Konfig: Custom commands for outgoing e-mails AFTER encryption).

Die vorgenommenen Änderungen werden über die Schaltfläche Save and create ruleset gespeichert. Das Ruleset wird mit den vorgenommen Einstellungen generiert.